کشف پیام‌رسان های جعلی درگوگل پلی
کشف پیام‌رسان های جعلی درگوگل پلی

معاونت بررسی مرکز افتا نسبت به شناسایی چندین اپلیکیشن پیام رسان جعلی و مخرب در فروشگاه گوگل پلی (Google Play) هشدار داد. به گزارش واحد علم و فناوری خبرگزاری صبح اقتصاد  به نقل از مرکز افتای ریاست جمهوری، پژوهشگران Trend Micro چندین برنامه در قالب پلتفرم‌های پیام‌رسان صوتی قانونی را در فروشگاه Google Play مشاهده کردند که […]

معاونت بررسی مرکز افتا نسبت به شناسایی چندین اپلیکیشن پیام رسان جعلی و مخرب در فروشگاه گوگل پلی (Google Play) هشدار داد.

به گزارش واحد علم و فناوری خبرگزاری صبح اقتصاد  به نقل از مرکز افتای ریاست جمهوری، پژوهشگران Trend Micro چندین برنامه در قالب پلتفرم‌های پیام‌رسان صوتی قانونی را در فروشگاه Google Play مشاهده کردند که دارای قابلیت‌های مخرب هستند.

نمونه‌های مختلف برنامه‌های مخرب مشاهده شده از ماه اکتبر در گوگل پلی بارگذاری شده‌اند که قابلیت‌های آنها در هر نسخه تکامل یافته است. به نظر می‌رسد که مجرمین سایبری در حال افزودن ویژگی‌های جدیدی هستند تا فعالیت‌های مخربی از جمله حملات بات‌نت انجام دهند.

بسیاری از این برنامه‌های جعلی از Google Play حذف شده‌اند.

پژوهشگران Trend Micro برخی از نمونه‌های مخرب را مورد تحلیل و بررسی قرار داده‌اند. در نمونه‌های بررسی شده، رفتار برنامه و نوع کدنویسی مشابه بوده است که به نظر می‌رسد مجرمین سایبری در حال توسعه ماژول‌های اضافی و انتشار برنامه‌های مخرب بیشتری هستند.

زمانی که برنامه مخرب روی گوشی قربانی نصب می‌شود، بدنه و payload را از سرور C&C دریافت می‌کند و آن‌را رمزگذاری و اجرا می‌کند. این بدنه دارای سه ماژول است. ماژول اول که Icon نام دارد، آیکون برنامه را مخفی می‌کند تا از حذف برنامه توسط کاربر جلوگیری کند. ماژول دوم، با نام Wpp، می‌تواند مرورگر را باز کند و به آدرس‌های دلخواه دسترسی یابد.

با استفاده از ماژول دوم، بدافزار یک فرم نظرسنجی را برای کاربر باز می‌کند تا به ازای ارائه کارت‌های هدیه به قربانی، اطلاعات شخصی وی از جمله نام، شماره‌های تماس و آدرس محل سکونت را جمع‌آوری کند. این ماژول همچنین آگهی‌های جعلی نیز به کاربر نشان می‌دهد.

ماژول سوم Socks نام دارد که برای انجام درخواست‌های DNS طراحی شده است. با توجه به اینکه پژوهشگران ارتباطی با سرور مشاهده نکردند، بنظر می‌رسد که این ویژگی در حال توسعه است.

گوگل این برنامه‌های پیام‌رسان صوتی مخرب را از Google Play حذف کرده است.

نشانه‌های آلودگی (IoC) شامل موارد زیر است:

URL برنامه‌ها و هش آنها:

•    com.bitv.freeaudiomessages:
۳f۷b۳۶۷۴۸۸e۷۶۱f۸۹b۴adeb۵dc۱b۹۶۱۷۶۶c۲۳۸d۴۱ebb۹fbd۷۲۶da۸۴۹۹d۱fce۲۶

•    com.wififree.messenger:
۷a۴۸۱۳f۶۸۹۳۶a۳۷fce۳۶۶۱۵۴a۶۰۸ad۳۰۷۰۸۴۳۳۶abc۲۰۵b۵۵f۸۰b۰a۶۷۸۸d۰۶۷ac

۸۱۱f۱۲ea۶۵۸f۹۳۲۵eede۵afcc۹۸۹۸aaf۳۷d۱e۰eafab۸۴e۹۴b۹d۳b۱۳adcc۶۱۳۱f

•    com.onlinevoice.playerapp:
۹۲ea۰۱d۰۱۹۸۵۰۶d۵a۴۳e۳cfccf۷b۲۶۶۱c۱۳۱c۵۷e۸d۲۶۰fbf۳۴۷۶۰f۰۱a۸۹۷b۰cb

•    com.bestvoice.messenger:
۹۷۴۲۱۴۸afe۱۰۹e۸ab۲۵ec۸۱f۵۸aee۸befed۶be۲۰affa۷b۲a۷۱۷۰۲a۶۵d۴bc۳۷۷c

•    com.netaudio.vam:
cabe۰۵۷cf۱۹ddd۵۴a۱۴۸۹e۰db۷۴d۰c۸۸۳۳cea۵۰۱c۴b۴a۲۲b۷۹۵۳a۶e۷d۱fd۹۳۹۱

•    com.voicedata.justvoicemessenger:
dddb۸۴da۱b۴f۸۹۱۴f۳۱۷۸۱a۱a۸a۴۶c۰۲۸dbb۷۷۶a۸۹۱d۱۹۸b۵d۴b۷۸c۳c۹a۶۲c۸d

سرورهای C&C:

•    hxxp://vilayierie.live:۴۴۳

•    hxxp://aspiet.club:۴۴۳

•    hxxp://۲۱۳,۲۳۹.۲۲۲.۷:۸۰۸۱